http://wizardbible.org/50/50.txt
[-]=======================================================================[-] Wizard Bible vol.50 (2010,4,22) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx
HTTPとHTTPSを併用しログイン後の画面遷移はHTTPSしか許可しないサイトでの安全なセッション管理 - masaのメモ置き場
HTTPとHTTPSを併用するサイトでの安全なセッション管理 - masaのメモ置き場 の続き おっと、ログイン後の画面遷移はHTTPSしか許可しない前提だったら、ログイン時にSecure属性付きのセッションCookie再発行してあげれば終わりですね。前提がごっちゃになってました、ごめんなさい。 ただ、コンテナに依存しない実装を考えた場合、なかなか難しいですよ・・・ ServletだとセッションCookieの発行はコンテナの役目。従ってセッションCookieのフィールドを操作するインタフェースが公開されていないのです。コンテナの設定で対応しようとした場合、HTTPでのアクセス時にはSecure属性無しのCookieを、HTTPSでのアクセス時にはSecure属性有りのCookieを発行するように実装されていないとダメですが、実際のところどうなんでしょう??少なくとも完全にコンテナ依存の実装
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
